PDA

Visualizza versione completa : Aiuto! Mi bucano...


TiTTi
09-06-2006, 21.56.50
Ciao a tutti.

Ho un problemino...

C'è qualcuno nella ditta in cui lavoro che si diverte a farmi gli scherzetti: io cerco di difendere il mio pc, e lui inesorabilmente mi frega.

Situazione:

PC con WXP Home, full patched e con av a posto. Un solo account amministratore, con passord di 18 caratteri tra numerici, alfanumerici e simboli. C'è la pwd sul bios, e può fare il boot solo dall'hardisk (niente cd o chiavette usb). Ci sono 2 account utente, il mio e quello di un collega, entrambi con pwd decenti. Non ci sono share.

Cosa succede:

Periodicamente il tizio fa qualcosa sul pc (non so se da console o via rete) e si crea uno o più account (utente o amministratore), oppure ci cancella le pwd, o altre cose di questo genere. Non ci provoca danni, ma si diverte un mondo alle nostre spalle :mad: :mad: :mad:

Io non so più cosa fare: ma come diavolo fa? E come lo fermo?

H E L P

Lionsquid
10-06-2006, 00.04.21
se la pwd sul bios è nota solo a te e al tuo collega e così pure per gli account...

l'unico accesso possibile in assenza di cdrom e chiavette usb, è il floppy oppure il pc incustodito nell'intervallo che intercorre per entrare in screen saver...

quindi...
1° il floppy è accessibile??
2° il file system è NTFS o FAT32??
3° sei certa che non abbia accesso al bios con una pwd "passpartout"?
4° controlla se non vi è installato un keylogger nel pc ...potrebbe carpirvi le password...
5° potete utilizzare un sw di locking.. (se l'azienda ve lo permette)
per esempio > http://stationlockxp.dg-dev.org.uk/ oppure http://www.toplang.com/desktoplock.htm... ancora http://www.dmvsoft.com/lock-windows-background.htm ...

...al momento non mi vengono altre idee... :mm:

TiTTi
10-06-2006, 00.12.47
Originariamente inviato da Lionsquid
se la pwd sul bios è nota solo a te e al tuo collega e così pure per gli account...

l'unico accesso possibile in assenza di cdrom e chiavette usb, è il floppy oppure il pc incustodito nell'intervallo che intercorre per entrare in screen saver...

quindi...
1° il floppy è accessibile??
2° il file system è NTFS o FAT32??
3° sei certa che non abbia accesso al bios con una pwd "passpartout"?
4° controlla se non vi è installato un keylogger nel pc ...potrebbe carpirvi le password...
5° potete utilizzare un sw di locking.. (se l'azienda ve lo permette)
per esempio > http://stationlockxp.dg-dev.org.uk/ oppure http://www.toplang.com/desktoplock.htm

...al momento non mi vengono altre idee... :mm:

Dunque...

Mettiamo in lock il pc prima di alzarci dalla scrivania, SEMPRE (visto che siamo in guerra :D )
Il floppy è accessibile, nel senso che c'è... Peroò il pc non fa il boot dal floppy, per cui credo che non si possa fare altro, giusto?

2) è NTFS
3) cos'è una pwd passepartout? vuoi dire che esistono delle pwd standard per i bios? quella del bios attuale l'ho messa io, è abbastanza lunga e complicata, e la sappiano io e il collega
4) niente keylogger, almeno credo; ho fatto passare uno paio di quei tools che beccano questo tipo di cose, nessun risultato!
5) boh, provo ad informarmi...

Nel frattempo, altre idee su come faccia il maledetto? :confused: :mad: :confused:

Lionsquid
10-06-2006, 00.21.13
un'altra possibile via di accesso è via rete... ma deve possedere i diritti di admin... le condivisioni possono essere occultate agli utenti non admin... le vostre utenze sono limitate, power user o cosa??

TiTTi
10-06-2006, 00.23.16
Originariamente inviato da Lionsquid
un'altra possibile via di accesso è via rete... ma deve possedere i diritti di admin... le condivisioni possono essere occultate agli utenti non admin... le vostre utenze sono limitate, power user o cosa??


I nostri user sono "utenti limitati" di WXP Home, però hoanche un utente admin e anche quello non vede alcuna condivisione!

Lionsquid
10-06-2006, 00.33.42
ultima domanda..il pc è in rete... per quali necessità?? sw aziendale, condivisioni stampanti, internet?

c'è un responsabile/admin nel vostro staff??

TiTTi
10-06-2006, 00.41.19
Originariamente inviato da Lionsquid
ultima domanda..il pc è in rete... per quali necessità?? sw aziendale, condivisioni stampanti, internet?

c'è un responsabile/admin nel vostro staff??

La rete serve per condividere l'adsl, per il resto siamo autonomi. Il responsabile/admin c'è: io..., per cui stiamo in una botte de fero :D

Lionsquid
10-06-2006, 00.50.58
ok.. mi sono fatto il quadro... avevo pensato una situazione + complessa...


in queste condizioni penso che non saprei prendere il controllo del pc... e quindi non ho idee per una contromossa... :( non sono proprio un guru in questo campo...

se i 4 punti che ho scritto sopra sono inviolabili, il tizio ha delle risorse extra... in alternativa uno dei punti è in realtà "conosciuto" o "accessibile" mentre pensate che non lo sia...

di più non so aiutarti... :( ...speriamo in qualche altro utente + preparato

una idea dell'ultimora....:mm::D

prova all'avvio premendo ripetutamente F8 se spunta la scelta del dispositivo di boot... se si.. userà un cd tipo hiren's, bartpe, erd commander...

einemass
10-06-2006, 02.24.33
e se avesse semplicemente usato qualcosa tipo ultraVNC?

Lionsquid
10-06-2006, 08.49.06
Originariamente inviato da einemass
e se avesse semplicemente usato qualcosa tipo ultraVNC?

beh.. per usare xzyVNC deve essere installato il server sul pc.... non credo che a TiTTi sfugga la presenza di un servizio del genere...:mm:


cmq, è un suggerimento a cui far seguire un controllo ;) (Y)

Semi.genius
10-06-2006, 09.08.55
Originariamente inviato da TiTTi
Ciao a tutti.
... Un solo account amministratore, con passord di 18 caratteri tra numerici, alfanumerici e simboli. ...

Ti riferisci all'account Administrator che si rende visibile quando si va in modalità provvisoria o ad un'account utente che hai creato te?

Potrebbe essere sprotetto quello e con una "master password" del PC (sono delle passwrod che funziona comunque perché di azienda, per evitare di resettare la CMOS).

O..

c'ha qualche sistema per togliere l'alimentazione al CMOS, resettare così la password e quindi la protezione all'USB..e usare Offline NT Password eliminando la pass..entrare in un'account in cui è stata tolta così può anche crearsi il nuovo utente administrator:p


(sembra una situazione al quanto fantasiosa:p per togliere l'alimentazione, potrebbe aver fatto uscire due fili dalla case e far fare corto alla pila...rimane la password da Bios, dopo il fatto?)

TiTTi
10-06-2006, 09.28.56
Originariamente inviato da Semi.genius


Ti riferisci all'account Administrator che si rende visibile quando si va in modalità provvisoria o ad un'account utente che hai creato te?

Potrebbe essere sprotetto quello e con una "master password" del PC (sono delle passwrod che funziona comunque perché di azienda, per evitare di resettare la CMOS).

O..

c'ha qualche sistema per togliere l'alimentazione al CMOS, resettare così la password e quindi la protezione all'USB..e usare Offline NT Password eliminando la pass..entrare in un'account in cui è stata tolta così può anche crearsi il nuovo utente administrator:p


(sembra una situazione al quanto fantasiosa:p per togliere l'alimentazione, potrebbe aver fatto uscire due fili dalla case e far fare corto alla pila...rimane la password da Bios, dopo il fatto?)

No, mi riferisco all'account administrator "ufficiale", quello che vedi in provvisoria o con i 3 ctrl+alt+canc; c'è solo quello come admin

Ho pensato anch'io al reset del bios, però la pwd c'è ed è quella che ho messo io...

TiTTi
10-06-2006, 09.30.21
Originariamente inviato da einemass
e se avesse semplicemente usato qualcosa tipo ultraVNC?

No, non c'è; c'era qualche tempo fa (un paio d'anni), ma è stato tolto da tempo.

TiTTi
10-06-2006, 09.31.26
Originariamente inviato da Lionsquid

prova all'avvio premendo ripetutamente F8 se spunta la scelta del dispositivo di boot... se si.. userà un cd tipo hiren's, bartpe, erd commander...

Ok, lunedì provo e vediamo se succede qualcosa...

TENCS

The_Prof
10-06-2006, 10.31.06
Originariamente inviato da TiTTi


Ok, lunedì provo e vediamo se succede qualcosa...

TENCS

Controlla anche che alla partenza del S.O. non venga eseguito qualche *.bat che contenga comandi regedit, e fai un controllo accurato dei servizi.
Ciao :)

TiTTi
10-06-2006, 12.52.31
Originariamente inviato da The_Prof


Controlla anche che alla partenza del S.O. non venga eseguito qualche *.bat che contenga comandi regedit, e fai un controllo accurato dei servizi.
Ciao :)

Ok grazie, controllo anche questo!

TiTTi
12-06-2006, 08.38.59
Evviva la trasferta :(

Se ne riparla tra un paio di giorni...

TiTTi
26-06-2006, 14.16.17
Evviva la trasferta :(

Se ne riparla tra un paio di giorni...

:crying:

Niente di niente, niente F8, niente bat, *NIENTE*

A I U T O

Gergio
26-06-2006, 14.31.53
keylogger hardware? e' un coso che si mette tra lo spinotto della tastiera e il pc (se il pc e' infognato sotto a una scrivania non si nota)

webcam in giro che puntino sulla tua tastiera?

TiTTi
26-06-2006, 14.44.13
keylogger hardware? e' un coso che si mette tra lo spinotto della tastiera e il pc (se il pc e' infognato sotto a una scrivania non si nota)

webcam in giro che puntino sulla tua tastiera?

Niet, né l'uno né l'altra. :wall:

Lionsquid
29-06-2006, 00.40.10
certo che è davvero curioso... o ti sfugge qualcosa.. oppure il tizio è un tipo tosto che si spaccia per un'utonto :mm:

hai suscitato in me una tale curiosità che vorrei essere lì a dare un'occhiata :D

ciao


un log di hijackthis??? magari scopriamo qualcosa di sospetto... :mm:

cippico
29-06-2006, 09.52.50
da quando e´ iniziato...lo controllo sempre x vedere come va a finire e se si scopre il...colpevole...e come fa... :)

non potendo suggerire niente...rimango alla finestra...e attendo...

ciaooo

Gergio
29-06-2006, 10.01.17
a qsto punto potresti provare tu a mettere un keylogger o qlcosa d'altro per monitorare qllo che succede al tuo pc o una webcam in giro che faccia videosorveglianza

TiTTi
29-06-2006, 11.59.48
Ragazzi,

grazie della solidarietà e dell'interesse.
Il personaggio non è un professionista del settore (e neanche io...), però ho saputo che fa questi magheggi su istruzioni di un altro che a quanto pare dovrebbe essere uno smanettone da paura.
Tra qualche giorno mi prendo un po' di ferie, mi porto a casa il pc e lo disseziono. Anzi, se ci state, lo dissezioniamo insieme! :devil:

Lionsquid
29-06-2006, 12.25.58
Ragazzi,

... però ho saputo che fa questi magheggi su istruzioni di un altro che a quanto pare dovrebbe essere uno smanettone da paura.
.....


ah-ha! :)


allora qualche trick di alto livello c'è.... quanto vorrei poter mettere le mani su sto pc :D:D

prova il suggerimento di gergio... mettilo tu il keylogger (e istruisci l'antivirus a ignorarlo sennò non te lo fà funzionare ;) )

retalv
29-06-2006, 15.25.47
E criptare il sistema e sbattersene definitivamente del come...? :inn:

Ciao!